Creo que uno de los principales problemas que tenemos los administradores de
redes es que no constamos con un lugar que nos permita adiestrarnos en temas de
ciber-seguridad dedicamos tiempo a mejorar y revisar nuestras configuraciones.
A hacer testeos de balanceo de carga de nuestros servidores, a luchar con los
usuarios que dan tangana cuando el Word no les abre, o la pc no les
enciende(porque la ups está apagada).
De contra tenemos que llevar una buena cantidad de papeles, ya que en algunas
empresas somos los hombres orquetas.
Una de las cosas por las que muchos nos hemos unido la UIC es por tener un
espacio para discutir nuestros temas de seguridad y como mejorarlo pero todavía
eso no camina mucho.
Hasta estos momentos no han aparecidos cursos que nos certifiquen a nivel
internacional, para mejorar nuestros curriculos individuales.
Ojala y la UIC tome esto en cuenta.
Saludos,
Pablo Raúl Vargas Hall
Especialista Principal de REDES (Jefe Equipo)
Geocuba Oriente Norte
Teléf.: 0124-423007
e-mail: ad...@holguin.geocuba.cu
GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA
GEOCUBA
-----Mensaje original-----
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En nombre
de Raphael Burquet
Enviado el: jueves, 18 de mayo de 2017 8:21
Para: gutl-l@jovenclub.cu
Asunto: [Gutl-l] jugar a ser Dios
Hacking en Cuba ¿jugar a ser Dios?
Ilustración: Mayo Bous / Cachivache Media.
Por: María Lucía Expósito (Tomado de Cachivache Media)
http://cachivachemedia.cubava.cu/2017/05/18/hacking-en-cuba-jugar-a-ser-dios/#more-1021
Eric Raymond afirma que saber romper medidas de seguridad no hace que seas
hacker, al igual que saber hacer un puente en un coche no te convierte en un
ingeniero de automoción.
Los términos hacker y hack tienen connotaciones positivas e irónicamente
negativas. Los programadores informáticos suelen usar hacking y hacker para
expresar admiración por el trabajo de un desarrollador de software calificado,
pero también se puede utilizar en un sentido negativo para describir una
solución rápida pero poco elegante a un problema. La palabra hacker se utiliza
normalmente para describir a alguien que hackea un sistema con el fin de eludir
o desactivar las medidas de seguridad.
El hacking en Cuba es un tema casi desconocido para la mayoría. El artículo 26
de la Resolución 127/07 refleja que “ninguna persona está autorizada a
introducir, ejecutar, distribuir o conservar en los medios de cómputo programas
que puedan ser utilizados para comprobar, monitorear o transgredir la
seguridad, así como información contraria a interés social, la moral y las
costumbres, excepto aquellas aplicaciones destinadas a la comprobación del
sistema instalado en la organización para uso por especialistas expresamente
autorizados por la dirección de la misma”.
Los recientes y habituales ataques dirigidos a los usuarios de la red Wifi
Etecsa, son, tristemente, un célebre recordatorio de la existencia de estos
individuos. Afortunadamente, hablar de hacking en Cuba, como demuestran las
historias de Winston, Yaisel y Vendetta, es también hablar del trabajo de los
grupos de formación de seguridad informática y el llamado hacking ético.
Winston, Yaisel y Vendetta son tres chicos cubanos que comparten más de una
habilidad en programación y son asiduos a las noches sin dormir con la
complicidad de sus códigos matemáticos. Cada uno, con distintos propósitos,
alega ser partidario de cierta ley de la curiosidad o, hablando en plata, de un
gremio de hackers a la cubana.
No obstante, las siguientes historias no contienen un cien por ciento de
claridad y especificidad debido, quizás, al sentido de protección individual de
cada una de los implicados. Asimismo, tales juicios fueron consultados con un
grupo de expertos en el tema, quienes cuestionaron algunos de los aspectos a
los que hicieron alusión los entrevistados.
I: Winston y la ley de la curiosidad
La tarde de este viernes me pesa en los pies, casi arrastro los pasos hacia la
Lonja del Comercio. Me siento en una de esas películas de espionaje; después de
semanas con par de líneas inconclusas de un trabajo, me recomendaron un email
cuyo usuario contenía caracteres raros.
Llego sesenta minutos tarde al lugar, y me encuentro a mi futuro entrevistado
leyendo un texto de Hemingway en las escaleras de la entrada del majestuoso
edificio. Me excuso de la mejor manera que encuentro y nos dirigimos hacia el
sexto piso de la Lonja. La vista mostraba los cruceros que, como bestias en el
Puerto, ocultaban de la vista la lanchita de Regla.
Él toma unas fotos en picada, hace un chiste que apenas entiendo mientras
prende un cigarro. Le pregunto un pseudónimo para la redacción. Cavila un rato.
Sonríe. “Winston, como el personaje de 1984”, responde.
Winston es un soñador de 22 años, está en cuarto de Ingeniería en Ciencias
Informáticas y tiene muchos proyectos por despuntar. Winston es, también, un
hacker cubano que no tiene problemas en recitarme la definición del término del
Diccionario Oxford: “persona que utiliza computadoras para ganar acceso no
autorizado a datos y entusiasta o persona habilidosa con las computadoras”.
“Mi mejor amiga es la paranoia –confiesa–, discúlpame por ser así, pero cuando
llegan hasta tu casa se vuelve muy incómodo saber que te vigilan”. No quiere
que esta sea la cuarta vez que ciertos cuerpos uniformados le toquen la puerta.
A la pregunta de si hay hackers en Cuba responde con un rotundo “sí, existen
hackers en Cuba y no son tan malos como la gente cree”.
María Lucía (ML): ¿Desde cuándo hackeas?
Winston (W):“Comencé a hacerlo de forma inconsciente con 13 o 14 años, buscando
formas de conectarme a Internet. En esa época no tenía ni idea de qué era un
hacker; la mayoría de las cosas que hice fueron extremadamente sencillas,
ingeniería social y mucho Telnet (protocolo de conexión telefónica) y SSH
(protocolo de conexión de red), herramientas básicas de cualquier distribución
de Linux, así como el Putty que es una App de Windows que permite hacer esto”.
Winston detiene su discurso. Prende otro cigarro, se disculpa y pregunta si le
traje la entrevista de Padura que prometí como cambio al documental sobre
Edward Snowden, Citizenfour, de Laura Poitras.
ML: Ver lo que otros no pueden… ¿te hace sentir algún súper poder el hecho de
ser hacker?
W: “Se siente un poco de vergüenza ajena, porque muchas veces es una mala
configuración realizada por el administrador. A veces me entra cargo de
conciencia y les envío un mail anónimo diciendo cómo arreglar el problema.
Realmente no me siento como si tuviera súper poderes; siento que logré ser más
inteligente que otra persona, como si ganara una partida de ajedrez contra un
gran maestro”.
ML: ¿Cuál es el tipo de hackeo más frecuente a sitios cubanos?
W: “Los ataques más frecuentes son de negación de servicio, que consisten en
realizar miles o millones de peticiones por segundo a un servidor (o página
web) con el objetivo de hacerlos colapsar. Estos ataques La red de ETECSA
apenas los soporta, si casi ni puede manejar la cantidad de peticiones que se
le realizan de manera normal. Las redes Wifi ETECSA y el sitio web Cubadebate,
han sido los más afectados”.
ML: ¿Cuál es la naturaleza de los atacantes y cuáles sus propósitos?
W: “Entre los más comunes figuran el Estado Islámico, y hackers solitarios, en
su mayoría intentando probar nuevos exploits. Los propósitos más repetidos son
perjudicar los sitios web cubanos oficialistas y obtener contraseñas para la
conexión a través de la red Nauta.
“La mayoría de los atacantes son script kiddies (personas que sencillamente
utilizan los scripts o los exploits de otras personas para llevar a cabo un
hack; algo así como la categoría que tienen los hackers en un principio, cuando
son aficionados), o algunos que se encuentran aburridos y deciden molestar un
poco.
“Por su parte, los hackers cubanos buscan mayormente burlar a ETECSA, que es
demasiado fácil, aunque hay propósitos extremadamente variados, tantos como
personas.
“En cuanto a pertenecer a algo, es difícil saberlo; nadie toma crédito, y los
que lo hacen dan alias que son imposibles de rastrear”.
A este chico siempre le sedujo la posibilidad de adquirir ese poder de “jugar a
ser Dios. Me tienta el poder, no para ostentarlo, sino porque me contenta
saber, o estar consciente de que puedo con algo, y de que puedo hacerlo en el
momento que quiera”.
Comienza a anochecer. Abandonamos el edificio de la Lonja del Comercio y nos
adentramos por el laberinto del Centro Histórico.
Mientras caminamos por las calles de La Habana Vieja, Winston se pone a
filosofar sobre el hecho de que por algún motivo extrañaba el invierno polar de
Hamburgo y la sequedad inherente de Berlín, donde hacía unos meses había
estado. Deseaba volver a caminar aquellos salones plagados de anarquistas,
hackers y escritores.
Aprovecho su relajación para tocar el tema de su historial. Arquea las cejas,
pero cede ante mi pregunta.
ML: ¿Has experimentado con la red Nauta?
W: “Con la red Nauta lo que hago es sencillamente un man in the middle (hombre
en el medio) y lo he usado solo para comprobar si era posible realizar ese tipo
de ataque, como algo meramente académico.
“Para burlar la red lo primero que hago es una copia exacta del sitio guardando
la plantilla y modificándola. Luego trato de conseguir todos los errores que da
con sus códigos; necesitas poder parecer la página auténtica. Después, con un
poco de PHP (lenguaje de programación), preparo la página falsa para que al
primer intento de logueo no envíe el formulario a la Wifi auténtica de Etecsa,
sino que lo salve en mi computadora en texto plano sin ningún tipo de cifrado.
En el siguiente intento de logueo, se envía el formulario a la página auténtica
de Etecsa dejando a la víctima conectarse. Si tengo ya a una persona conectada
lo que hago es sencillamente dar un error con el primer formulario y luego le
doy paso, así se pueden almacenar más combinaciones de usuario + password. Esa
es la esencia del ataque.
“Hasta hace muy poco esto era posible porque, en primer lugar, Etecsa no tenía
un certificado SSL reconocido como válido por los navegadores. Por otro lado,
las personas tienen una escasa cultura informática, por lo que no tienen ni
idea de cuándo un certificado es válido y cuándo no; esto me permite generar
uno propio”.
Juegos aparte, Wilson dedica su tiempo libre a crear y promover una mayor
conciencia sobre los temas de seguridad informática. “Ahora mismo estoy
tratando de desarrollar protocolos para comunicación segura utilizando
estándares criptográficos. Otra cosa que tengo en mente es tratar de conseguir
que la privacidad de datos sea un tema de más interés en Cuba, que se exijan
estándares criptográficos a todas las empresas, que todos los datos estén
almacenados de forma segura, no en texto plano como ocurre ahora”.
ML: ¿Algo así como un hackerspace cubano?
W: “El proyecto consiste en crear un lugar donde las personas puedan dar rienda
a su imaginación, probar nuevas ideas, difundir conocimiento, impartir cursos
de programación electrónica y cualquier cosa que sepamos, todo de forma
gratuita y comunitaria; esa es la idea general de fundar el hackerspace. Algo
que además no es idea mía solamente, sino de varios miembros de la comunidad de
software libre de La Habana”.
Mientras vagamos por esta Habana de medias luces, casi al despedirnos, le lanzo
una última pregunta.
ML: ¿Vale la pena “la curiosidad”?
W: “La respuesta siempre va a ser sí, como especie somos curiosos por
naturaleza, hackear es una expresión más de la misma”.
II Hacking… ¿ético?
El curso de hacking ético que imparte la Universidad de las Ciencias
Informáticas consiste en el estudio de pruebas de penetración a aplicaciones
web. Se les enseña a los cursantes cómo utilizar ciertas herramientas y
procedimientos para saber si la aplicación web que se analiza es vulnerable o
no.
Winston, mi entrevistado de la Lonja, participó en uno de los cursos “pero por
molestar al profesor más que nada”, afirmó. “La gente tiene miedo de lo que
alguien con conocimientos puede hacer; si fuera a comparar el curso con algo lo
compararía con un vino muy aguado”.
A diferencia de Winston, Yaisel Hurtado –Ingeniero en sistemas de la
Universidad de las Ciencias Informáticas, desarrollador y bloguero del sitio
HumanOS– sí cree en la utilidad de estos cursos, y es uno de los impulsores del
Grupo de Hacking ético. Prefiere el software libre de código abierto, Debian,
Python y otras cosas estúpidas como él mismo dice.
“Una amiga me dijo que no entendía cómo el hacking podía ser ético, –cuenta
Hurtado–, y yo le dije: ‘de la misma forma que un cirujano puede ser ético o
no, el hecho de que sea cirujano no lo convierte en buena persona. Por ejemplo,
hay scripts que son tareas programadas para hacerle un respaldo a una base de
datos y eso no es malo, hago scripts todos los días y son para ayudarme con mi
trabajo”.
ML: ¿Cuál es la estrategia desplegada en estas últimas ediciones del curso?
Yasiel Hurtado (YH): “En esta edición estamos concentrados en las aplicaciones
web porque es lo que más está siendo afectado. Los lenguajes de scripting que
más utilizamos son Bash, PHP, Python, Ruby y Perl –básicamente, todos estos
lenguajes son un conjunto de instrucciones en un fichero–.
“Trabajamos también técnicas con tráfico hacia a aplicaciones web, cómo
analizarlo, identificar patrones de ataques centrados en dicho tráfico
registrado por el proxy inverso y servidores web. Leemos muchos logs en el caso
de los libpurples que libera pidgin, chequeos de integridad de ficheros,
notificaciones por correo y el vínculo que puede tener con los spams”.
ML: ¿Se considera el spam una forma de ataque?
YH: “El servidor de correo tiene que invertir tiempo y recursos en recibir y
almacenar esos correos. Si yo como atacante envío 100 correos spam, con un solo
usuario que me dé su número de cuenta, podría haber cumplido mi objetivo; ahora
imagínate enviar 200 000 correos, si de cada 100 cae uno hipotéticamente
hablando, ¿cuántos caerán cuando envíe 200 000? Eso no solo es empleado por los
hackers de sombrero negro sino por empresas que hacen o contratan campañas de
marketing; hay toda una industria del malware, y es una industria millonaria.
“En el grupo de hacking ético hacemos un análisis para determinar, no solo de
dónde provino, sino también lo que querían hacer, si lo consiguieron, además de
cómo fue que lo hicieron”.
III Inside Facebook: “Tengo ganas de decirle al mundo lo que hice, aunque sea
horrible”
Con 21 años, Vendetta –como prefirió llamarse– sueña con tener una compañía
como la de Steve Jobs. Confiesa que muchas veces le parece poco lo que ha
logrado hasta ahora.
“Cuando logré entrar al GHE (Grupo de Hacking Ético) de la UCI me metí esta
frase en la cabeza: Las dos cosas que más odiamos cuando estamos en una red de
computadoras son que se nos invada nuestra privacidad, y no poder invadir la
privacidad de los demás”.
Su experiencia como hacker también está relacionada con vetas de cursos de
hacking, de los cuales fue expulsado por usar Armitage (interfaz de usuario
para metaesploit) como un atajo para saltarse pasos.
ML: ¿Qué fue lo que atacaste y cuál vía empleaste para lograrlo?
Vendetta (V): “Lo que hice fue ingeniería social”, comenta, “mi campo de acción
fue Facebook. El procedimiento se basa en capturar los paquetes del Pidgin que
utilizaban algunos usuarios mientras usaban un plugin de Facebook. Averigüé
algunos de los datos, los metí en un programa de generación de claves y así
logré coleccionar las contraseñas que quería”.
Winston considera que –tal y como lo denuncian las recientes filtraciones de
Wikileaks del 7 de marzo de 2017, tituladas CIA Hacking Tools Revealed–
“Facebook y otras redes sociales no son seguras, no porque la gente deba parar
de utilizarlas, sino porque se debe considerar el uso que se les da. Además, si
tienes presente que, en algunos países del mundo, las empresas utilizan estas
redes sociales para espiar a sus empleados, y los gobiernos para vigilar a sus
ciudadanos, te das cuenta de que no vale la pena sacrificar tu privacidad por
algo tan banal como un like”.
Vendetta me indica un ícono con una aleta de tiburón en su monitor. “Se llama
Wireshark, con esto se esnifa tráfico, se leen paquetes, protocolos, etc. Si
capturo mucho tráfico, y le hago ataques de fuerza bruta a las capturas puedo
obtener passwords y credenciales; es fácil de usar”, explica.
“Cuando logré abrir las trazas locales del pidgin de la universidad, temblé.
Burlé la seguridad de la escuela, eso me preocupó, y todavía me preocupa. Hice
las cosas de manera tal que no dejara rastros, solo espero que nunca se les
ocurra analizar a fondo mi tráfico de red. Todavía pienso en eso, y siento que
exploto, tengo ganas de decirle al mundo lo que hice, aunque sea horrible”.
“El 80% de las cosas que se hablan son cotilleos; no saqué cifras exactas, pero
podría asegurártelo. Un 2% de todo lo que le leí puede haber hecho referencia a
mí; no es que haya leído tanto, no podía exponerme tampoco. Hubo cosas que me
gustaron, otras que me disgustaron e incluso frases de hace mucho tiempo que me
dolieron. Era mejor haberme evitado ciertas experiencias, pero eso sería la
negación de una verdad”.
“No le hice daño a nadie, solo husmeé, aunque después reflexioné mejor sobre lo
que hice. No podemos tomar represalias sustentadas en simples deseos egoístas,
ni podemos manchar el nombre de los demás para beneficio propio, como tampoco
debemos encerrar a una persona en una palabra por una simple acción”.
“Me queda una gran satisfacción, pude completar un sueño, el sueño de mucha
gente. El solo hecho de por poder callar y pensar en el aquello de ‘lo pude
lograr’ se convierte en un triunfo magnífico”.
Según declaraciones de Gonzalo García Pierrat, director de organización y
control de la Oficina de Seguridad para las Redes Informáticas (OSRI) al diario
Granma, “uno de los grandes vacíos legales es que no existe una vía directa
para sancionar a una persona por introducir programas malignos o acceder sin
autorización a una red”.
Nuestra sociedad analógica no está lista para un debate de envergadura como
este. El analfabetismo digital, la desactualización tecnológica y la tecnofobia
siguen siendo un talón de Aquiles. Si algunos foráneos ven a Cuba como una
postal de los cincuentas por sus autos, un hacker probablemente nos perciba
como una tribu de recolectores, cazadores y pescadores.
No obstante, el pasado mes de febrero, se anunció que el Ministerio de
Comunicaciones de Cuba prepara un nuevo reglamento de seguridad informática más
acorde con el avance de tecnologías de la informatización y las
telecomunicaciones en el país, como consta en una nota de la Agencia Cubana de
Noticias. Este será un buen termómetro de hacia dónde vamos.
--
Raphael Burquet <burq...@infomed.sld.cu>
--
Este mensaje le ha llegado mediante el servicio de correo electronico que
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema
Nacional de Salud. La persona que envia este correo asume el compromiso de usar
el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
